Regio Side

Hoy tuve que ir a obtener mi Netkey para poder accesar a BancaNet de Banamex. Para empezar, fui desde el Jueves a la sucursal para hacer el tramite. El Jueves se tardaron media hora en decirme que no tenian linea/conexion a la central, y que por favor regresara despues. Regresé despues de la comida, y tampoco tenian. Fui el Viernes, y tampoco tenian. Debido a que este pasado lunes 4 de Febrero fue asueto, tuve que ir hasta hoy Martes, a hacer el tramite. Por fin lo consegui.

Cuando haces el tramite, te piden una clave de 8 digitos numericos. Para poder accesar al portal de banca en linea, te piden tu numero de cliente, la clave de 8 digitos numericos, y el numero dinamico que te genera el Netkey. OK, por fin pude entrar al portal.

Nuevo al servicio, estuve navegando las opciones del menu para familiarizarme, y encontre la funcionalidad de Alta de Cuenta de Terceros. Para mi sorpresa, me piden nuevamente una clave de 8 digitos, pero ahora numeros y alfanumericos, que debió de haberme llegado “por correo” y que tendría que activar en otra pantalla de BancaNet.

Bueno, estan tontos los que planearon el proceso o que? Para que demonios te limitan a necesitar un password que te va a llegar por correo postal (que ni siquiera lo aclaran en la pagina), para poder dar de alta una cuenta de terceros? El correo postal se tarda todavia de 5 a 10 dias (y siendo realistas, 3 semanas) en llegar! Y si a mi me urge hacer una transferencia hoy, ¿que?. Encima de que me hacen perder tiempo durante 3 dias, ahora tengo que esperarme para realmente poder manejar mi dinero en linea. Genial.

No entiendo de quien fue la brillante idea de meter todavia una clave mas. Cuatro claves se necesitan para poder realizar operaciones de verdad en BancaNet de Banamex. Y encima, te permiten loggearte a tu cuenta desde su pagina principal, que ni siquiera tiene el certificado de seguridad.

Ah, y durante el Super Tazon, Banamex tambien estuvo transmitiendo una serie de anuncios que nunca habia visto, pero que terminan con una tonadita muy parecida a la que tienen los comerciales del iPhone de Apple. Copycats.

Hace un par de semanas, un amigo me hizo el favor de reenviarme un correo que avisaba sobre un nuevo ataque de Phishing a usuarios de Prodigy Infinium, con la intención de robar sus datos de acceso al portal de BancaNet, del banco Banamex.

Básicamente, el ataque consistía en forzar al ruteador/modem a redireccionar el nombre de Banamex.com a una pagina falsa, diseñada por el hacker, para poder robar los datos de acceso del usuario a BancaNet. Como el ataque era hacia el ruteador/modem, ningun antivirus detectaba el ataque. Y también, al ser el ruteador el que estaba afectado, cualquier computadora conectada a Internet a través de ese ruteador, veía la pagina falsa en lugar del verdadero portal de Banamex.

Solamente pudiste haber sido afectado, si tu modem/ruteador de Infinitum es 2Wire, y no le pusiste un password para evitar la modificación de propiedades. Aun después de esto, tendrías que haber abierto un correo electrónico con una postal falsa de Gusanito.com, la cual ejecutaba los comandos de redireccionamiento en el ruteador.

No entraré mucho en detalle, ya que el objetivo de este post, es enseñar a los usuarios que fueron afectados, como deshacer el redireccionamiento que el ataque de phishing logró, si acaso fueron afectados. Como en las paginas en las cuales encontré detalles del ataque, nunca publicaron como corregir el problema si ya estabas afectado, decidí escribir este post.

¿Cómo saber si fuiste afectado?

En tu navegador, ve a la siguiente dirección. Esta direccion es la que por default traen los modems que entrega Telmex.

http://home/xslt?PAGE=J38

Nota: en ese URL, la palabra “home” redirecciona automaticamente a la dirección IP de tu modem/ruteador 2Wire. Es por eso que aunque le hayas cambiado al ruteador la dirección IP que venía por default, si no habias asignado un password, el ataque era efectivo en el ruteador sin importar la IP que tuviera. Ahora, a seguir con el proceso…

Con eso, estarás entrando a la página “Advanced - DNS Table”.

En la sección de abajo (Name Table), si ves líneas o direcciones que mencionen Banamex.com, haz click en el botón de “Remove” para cada una.

Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .

Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:

1. Hacer click en el botón de Inicio (Start).
2. Seleccionar la opción de Ejecutar (Run).
3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
4. Teclea “nslookup Banamex.com”.
5. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100.

Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el ruteador, pero mientras menos abras correos electrónicos de gente que no conozcas, estarás mas seguro.

Banamex o las autoridades competentes ya lograron dar de baja el sitio falso, pero si el redireccionamiento en el ruteador de los usuarios sigue activo, de todas maneras no podrían entrar al portal de BancaNet.

Obtuve detalles del ataque de los siguientes sitios:

• Masio IT
• Blog Laboratorio Hispasec
• La Cofradia Digital

Si conoces a alguien que use Infinitum, por favor pásale la dirección de este post para ayudarlo a eliminar el ataque.